Re: [rkhunter]: Mises à jour de paquets
Bonjour,
Luc Novales a écrit :
> > $ sudo rkhunter --propupd
> Cette commande met à jour, sans vérification et de façon globale,
> c'est très dangereux.
Pour ma part, lorsque rkhunter me signale que des exécutables sensibles
ont été mis à jour, je vérifie dans les logs d'APT que ces modifications
correspondent bien à des mises à jour de paquets officiels (à ce sujet,
apt-file est d'une grande aide). Une fois que j'ai vérifié la légitimité
des mises à jour, je lance la commande :
for c in /usr/bin/a /usr/bin/b /sbin/c /usr/sbin/d ; do
rkhunter --propupd $c
done
> sinon, cela obligerait à le faire à la main à chaque mise à jour,
> après vérification qu'aucun autre fichier n'a changé.
Un outil de scellement, qui signale la mise à jour des exécutables et
d'autres fichiers sensibles, ne doit justement pas actualiser sa base
automatiquement. Il incombe au contraire à l'admin. sys. de vérifier la
légitimité des mises à jour.
Alors certes, cette vérification manuelle est pénible à concilier avec
une mise à jour automatique et fréquente du système (mise à jour qui
a potentiellement lieu toutes les 4 heures sur mes serveurs) mais si on
veut le beurre et l'argent du beurre, c'est le prix à payer.
Et c'est pour cela que j'utilise rkhunter, outil qui procède à un
scellement ciblé, et non Tripwire ou AIDE, qui me semblent plus destinés
à des machines extrêmement durcies qui, une fois configurées, ne
devraient qu'être exceptionnellement mises à jour.
Sébastien
--
Sébastien Dinot, sebastien.dinot@free.fr
http://sebastien.dinot.free.fr/
Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !
Reply to: